image

SAP-servers door zeer kritieke kwetsbaarheid op afstand over te nemen

woensdag 9 februari 2022, 15:59 door Redactie, 8 reacties

Een zeer kritieke kwetsbaarheid in de software van SAP maakt het mogelijk voor aanvallers om SAP-servers op afstand over te nemen, wat grote gevolgen voor organisaties en bedrijven kan hebben. SAP roept organisaties op om het beveiligingslek zo snel mogelijk te verhelpen. Misbruik is eenvoudig en vereist geen authenticatie. Het versturen van een speciaal geprepareerde http-request volstaat, aldus securitybedrijf Onapsis dat het probleem ontdekte.

Het beveiligingslek, aangeduid als CVE-2022-22536, is aanwezig in de SAP Internet Communication Manager (ICM). ICM biedt een webserver voor alle SAP-producten die met internet verbonden moeten zijn of via http(s) met elkaar communiceren. Het is daardoor een belangrijk onderdeel van de SAP-stack. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10.0 beoordeeld. Door het versturen van een speciaal geprepareerd pakket naar een SAP-server kan een ongeauthenticeerde aanvaller gevoelige informatie stelen, zoals inloggegevens en andere sessie-informatie. Misbruik kan tot een volledige systeemovername leiden.

SAP-applicaties worden voor allerlei bedrijfsprocessen gebruikt. Via de kwetsbaarheid is het mogelijk om SAP-applicaties en -servers te compromitteren. Dit kan leiden tot diefstal van gevoelige gegevens, financiële fraude, verstoring van cruciale bedrijfsprocessen, ransomware en uitval van alle bedrijfsoperaties, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. SAP heeft beveiligingsupdates uitgebracht voor de SAP Web Dispatcher, SAP Content Server en SAP NetWeaver.

Reacties (8)
10-02-2022, 10:53 door Anoniem
sapperdeflap wat een crap is dat sap!
10-02-2022, 12:21 door Anoniem
SAP servers op afstand overnemen geldt waarschijnlijk alleen voor de windows servers. De meeste SAP servers draaien onder Linux (en vanaf 2027 allemaal verplicht) en daar krijg je echt geen root rechten. De kop is dus misleidend. Desalniettemin is het erg genoeg natuurlijk als er gebruikersdata wordt gelekt. Daarom is het voor NCSC ook niet kritiek maar M/H https://advisories.ncsc.nl/advisory?id=NCSC-2022-0099
10-02-2022, 13:36 door Anoniem
Door Anoniem: SAP servers op afstand overnemen geldt waarschijnlijk alleen voor de windows servers. De meeste SAP servers draaien onder Linux (en vanaf 2027 allemaal verplicht) en daar krijg je echt geen root rechten. De kop is dus misleidend. Desalniettemin is het erg genoeg natuurlijk als er gebruikersdata wordt gelekt. Daarom is het voor NCSC ook niet kritiek maar M/H https://advisories.ncsc.nl/advisory?id=NCSC-2022-0099

Het versturen van een speciaal geprepareerde http-request volstaat, volgens mij staat dit los van Linux of Windows
10-02-2022, 14:38 door Anoniem
Door Anoniem:
Door Anoniem: SAP servers op afstand overnemen geldt waarschijnlijk alleen voor de windows servers. De meeste SAP servers draaien onder Linux (en vanaf 2027 allemaal verplicht) en daar krijg je echt geen root rechten. De kop is dus misleidend. Desalniettemin is het erg genoeg natuurlijk als er gebruikersdata wordt gelekt. Daarom is het voor NCSC ook niet kritiek maar M/H https://advisories.ncsc.nl/advisory?id=NCSC-2022-0099

Het versturen van een speciaal geprepareerde http-request volstaat, volgens mij staat dit los van Linux of Windows
Natuurlijk staat het er niet los van. Het hangt af van wat voor gebruikersrechten de applicatie van het OS meekrijgt en dat is onder windows bijna altijd admin rechten. Zie windows http.sys als voorbeeld: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166
10-02-2022, 14:43 door Anoniem
Door Anoniem:
Door Anoniem: SAP servers op afstand overnemen geldt waarschijnlijk alleen voor de windows servers. De meeste SAP servers draaien onder Linux (en vanaf 2027 allemaal verplicht) en daar krijg je echt geen root rechten. De kop is dus misleidend. Desalniettemin is het erg genoeg natuurlijk als er gebruikersdata wordt gelekt. Daarom is het voor NCSC ook niet kritiek maar M/H https://advisories.ncsc.nl/advisory?id=NCSC-2022-0099

Het versturen van een speciaal geprepareerde http-request volstaat, volgens mij staat dit los van Linux of Windows
Een geprepareerde http-request volstaat, maar niet om een server over te nemen en mogelijk te versleutelen. Dat hangt toch echt af van wat het OS aan resources aanbiedt.
10-02-2022, 16:01 door karma4 - Bijgewerkt: 10-02-2022, 16:04
Door Anoniem: [Het versturen van een speciaal geprepareerde http-request volstaat, volgens mij staat dit los van Linux of Windows
Natuurlijk staat het er niet los van. Het hangt af van wat voor gebruikersrechten de applicatie van het OS meekrijgt en dat is onder windows bijna altijd admin rechten. Zie windows http.sys als voorbeeld: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166[/quote]
Onder linux is het vrijwel altijd root rechten, dat gemakzuchtige hoeft niet, Onder Windows heb je meerdere standaard service accounts met aparte rechten. Daar komen er steeds meer van.

Door Anoniem:
Een geprepareerde http-request volstaat, maar niet om een server over te nemen en mogelijk te versleutelen. Dat hangt toch echt af van wat het OS aan resources aanbiedt.
Toch echt een linux ontwerp probleem denk maar aan shell-shock. of log4j2. Alleen met de NSA selinux ietwat in te perken. Echter die aanpak vergt gedegen studie.
10-02-2022, 18:49 door Anoniem
Door karma4:
Door Anoniem: [Het versturen van een speciaal geprepareerde http-request volstaat, volgens mij staat dit los van Linux of Windows
Natuurlijk staat het er niet los van. Het hangt af van wat voor gebruikersrechten de applicatie van het OS meekrijgt en dat is onder windows bijna altijd admin rechten. Zie windows http.sys als voorbeeld: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166

Onder linux is het vrijwel altijd root rechten, dat gemakzuchtige hoeft niet, Onder Windows heb je meerdere standaard service accounts met aparte rechten. Daar komen er steeds meer van.

Door Anoniem:
Een geprepareerde http-request volstaat, maar niet om een server over te nemen en mogelijk te versleutelen. Dat hangt toch echt af van wat het OS aan resources aanbiedt.
Toch echt een linux ontwerp probleem denk maar aan shell-shock. of log4j2. Alleen met de NSA selinux ietwat in te perken. Echter die aanpak vergt gedegen studie.[/quote]Typische karma4 trolopmerkingen. Log4j zou een Linux ontwerpprobleem zijn. Man ga je mond spoelen. "Onder linux is het vrijwel altijd root rechten" Idem dito. Als dat zo zou zijn zou het ransomwareprobleem niet 95% windows based zijn. https://www.techradar.com/news/almost-all-ransomware-targets-windows-devices
16-02-2022, 11:47 door DLans
Ik weet soms echt niet waarom ik de reacties nog lees .. vele mensen hier zijn zo verschrikkelijk kinderachtig en zielig, aan beide kanten (Windows & Linux aanbidders). Hebben de mensen die hier direct moeten bashen uberhaupt het artikel gelezen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.